Re: [Ninux-Wireless] Coniglio
che con openssl e altri 2/3 pacchetti lo spazio si riduce a 0 e openwrt non crea l'immagine per il dispositivo incriminato. Il 01 settembre 2011 14:49, ZioPRoTo (Saverio Proto) ha scritto: >> Tutto compilato. E' impensabile installare su tali device restano >> circa 400K disponibilie. > > quale è il problema di avere 400K in Flash disponibile ? > > Saverio > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
> Tutto compilato. E' impensabile installare su tali device restano > circa 400K disponibilie. quale è il problema di avere 400K in Flash disponibile ? Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Tutto compilato. E' impensabile installare su tali device restano circa 400K disponibilie. Ciao Il 31 agosto 2011 08:57, ZioPRoTo (Saverio Proto) ha scritto: >> Cavolo quanto pesano le libopenssl. su device 4Mb pesano. > > ma 4MB installandole al momento della compilazione del firmare o > installando successivamente con opkg ? > > Saverio > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
> Cavolo quanto pesano le libopenssl. su device 4Mb pesano. ma 4MB installandole al momento della compilazione del firmare o installando successivamente con opkg ? Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Cavolo quanto pesano le libopenssl. su device 4Mb pesano. 2011/8/26 Antonio Quartulli : > On Fri, Aug 26, 2011 at 09:18:29 +0200, ZioPRoTo (Saverio Proto) wrote: >> cmq si tutto il payload TCP è cifrato. > > si in effetti hai pienamente ragione..mea culpa! > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 09:18:29 +0200, ZioPRoTo (Saverio Proto) wrote: > cmq si tutto il payload TCP è cifrato. si in effetti hai pienamente ragione..mea culpa! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Il 26 agosto 2011 09:18, ZioPRoTo (Saverio Proto) ha scritto: >> Sei sicuro Saverio che anche l'url sia criptato? Su server con >> virtualhost il client deve fornire l'hostname prima che il server >> possa fornire il certificato relativo a quell'url. > > infatti se vuoi fare https devi avere un IP dedicato per ogni nome, > altrimenti ti da un problema col certificato, perché il server ha un > certificato di default e non può scegliere quello giusto relativo al > nome prima di tirare su il socket. > Esattamente, ma navigando dal link di Pierluigi sono arrivato qua http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI Sembra che apache sia in grado di renegoziare la sessione ssl con il certificato adatto dopo aver iniziato l'handshake con il certificato di default. rfc4366: . Introduction This document describes extensions that may be used to add functionality to Transport Layer Security (TLS). It provides both generic extension mechanisms for the TLS handshake client and server hellos, and specific extensions using these generic mechanisms. Wireless environments often suffer from a number of constraints not commonly present in wired environments. These constraints may include bandwidth limitations, computational power limitations, memory limitations, and battery life limitations. ... Specifically, the extensions described in this document: - Allow TLS clients to provide to the TLS server the name of the server they are contacting. This functionality is desirable in order to facilitate secure connections to servers that host multiple 'virtual' servers at a single underlying network address. ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
> Sei sicuro Saverio che anche l'url sia criptato? Su server con > virtualhost il client deve fornire l'hostname prima che il server > possa fornire il certificato relativo a quell'url. infatti se vuoi fare https devi avere un IP dedicato per ogni nome, altrimenti ti da un problema col certificato, perché il server ha un certificato di default e non può scegliere quello giusto relativo al nome prima di tirare su il socket. ora mi vado a vedere questa cosa che ha postato Pierluigi che non conoscevo, cmq si tutto il payload TCP è cifrato. cmq guarda qui: http://en.wikipedia.org/wiki/Transport_Layer_Security alla sezione: "Support for name-based virtual servers" Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Non è più così FYsI: "Multiple (different) SSL certificates on one IP" is brought to you by the magic of TLS Upgrading. It works with newer Apache servers (2.2.x) and reasonably recent browsers (don't know versions off the top of my head). RFC 2187 has the gory details, but basically it works for a lot of people (if not the majority). You can reproduce the old funky behavior with openssl's s_client command (or any "old enough" browser) though. 2011/8/26 Claudio > Il 26 agosto 2011 08:16, ZioPRoTo (Saverio Proto) > ha scritto: > >> Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. > Questo > >> perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. > è il > >> contenuto che invece viene criptato. Per questo motivo potresti passare > il MAC > >> in POST invece che in GET. A questo punto SSL renderà invisibile tale > valore. > > Ma invece di usare https + wget/curl e dover installare altri > pacchetti non ti conviene usare ssh con una serie di chiavi > precondivise? > > > > > anche il fatto che l'URL è visibile NON E' VERO > > > > stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di > > TCP viene cifrato. > > Sei sicuro Saverio che anche l'url sia criptato? Su server con > virtualhost il client deve fornire l'hostname prima che il server > possa fornire il certificato relativo a quell'url. > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Il 26 agosto 2011 08:16, ZioPRoTo (Saverio Proto) ha scritto: >> Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo >> perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il >> contenuto che invece viene criptato. Per questo motivo potresti passare il >> MAC >> in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Ma invece di usare https + wget/curl e dover installare altri pacchetti non ti conviene usare ssh con una serie di chiavi precondivise? > > anche il fatto che l'URL è visibile NON E' VERO > > stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di > TCP viene cifrato. Sei sicuro Saverio che anche l'url sia criptato? Su server con virtualhost il client deve fornire l'hostname prima che il server possa fornire il certificato relativo a quell'url. ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
> Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il > contenuto che invece viene criptato. Per questo motivo potresti passare il MAC > in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. il MAC di livello due è visibile, ma è il mac in riferimento al pezzetto di livello due dove l'attaccante sniffa. Ma se parliamo di scrivere il MAC del dispositivo nel payload della GET HTTP allora quello non è visibile. anche il fatto che l'URL è visibile NON E' VERO stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di TCP viene cifrato. Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
ok sei stato chiarissimo ma adesso mii viene da chiedere un'altra cosa. Al momento sto usando wget-matrixssl in quanto riesco a non occupare troppo spazio sul device. Sinceramente parlando non mi dispiacerebbe usare cURL al posto di wget ma mi resta il problema che in alcuni device (es. tl-wr741nd con 4MB di flash) userei uno spazio spropositato per una semplice richiesta wget/curl in ssl. Ecco perchè avevo pensato di usare mcrypt tra php e il nodo e di avere una password comune ma anche questa soluzione non è che mi piaccia molto. Ho visto che ci sono altre implementazioni di ssl per dispositivi embedded e mi chiedevo se ci fosse qualche versione di curl/wget ufficiale che usi queste lib oppure un buon motivo per utilizzare le libopenssl a prescindere. Grazie Ciao Il 26 agosto 2011 00:18, Antonio Quartulli ha scritto: > On Fri, Aug 26, 2011 at 12:13:19AM +0200, Filippo Sallemi wrote: >> Grazie Antonio, >> sei stato chiarissimo e se ho capito bene tu consigli inoltre di >> mettere il certificato del server su ogni nodo in modo da rendere il >> più ermetico possibile il tutto. E' corretto? > > esatto e poi dovresti dire a wget/curl di "fallire" in caso di mismatching del > certificato. In questo modo se qualcuno si finge server (per esempio facendo > un po' di > dns/arp poisoning), il tuo nodo si rifiuterebbe si scaricare i dati perchè il > controllo sul certificato andrebbe a fallire! > > Ciau > >> >> Ciao >> >> Il 26 agosto 2011 00:10, Antonio Quartulli ha scritto: >> > On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: >> >> Ciao raga, come va? >> >> ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in >> >> merito. >> >> Ho realizzato un piccolo script che passatogli un file che contiene >> >> istruzioni uci le applica. Una sorta di meccanismo per automatizzare >> >> la configurazione di alcuni nodi tramite wget ad un url. Il tutto >> >> funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente >> >> per mantenere un minimo di sicurezza. Più che altro vorrei sapere se >> >> quando faccio una wget passando il mac del dispositivo in post ad una >> >> pagina ssl è possibile vedere appunto il mac che ho inviato? >> > >> > Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. >> > Questo >> > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è >> > il >> > contenuto che invece viene criptato. Per questo motivo potresti passare il >> > MAC >> > in POST invece che in GET. A questo punto SSL renderà invisibile tale >> > valore. >> > >> > Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente >> > il >> > certificato SSL del server sui vari nodi, un eventuale attaccante che >> > vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non >> > riuscirebbe nel suo intento. >> > >> > >> > p.s. sia wget che curl hanno opzioni per passare le variabili in post! >> > ___ >> > Wireless mailing list >> > Wireless@ml.ninux.org >> > http://ml.ninux.org/mailman/listinfo/wireless >> > >> >> >> >> -- >> Filippo Sallemi >> ___ >> Wireless mailing list >> Wireless@ml.ninux.org >> http://ml.ninux.org/mailman/listinfo/wireless > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 12:13:19AM +0200, Filippo Sallemi wrote: > Grazie Antonio, > sei stato chiarissimo e se ho capito bene tu consigli inoltre di > mettere il certificato del server su ogni nodo in modo da rendere il > più ermetico possibile il tutto. E' corretto? esatto e poi dovresti dire a wget/curl di "fallire" in caso di mismatching del certificato. In questo modo se qualcuno si finge server (per esempio facendo un po' di dns/arp poisoning), il tuo nodo si rifiuterebbe si scaricare i dati perchè il controllo sul certificato andrebbe a fallire! Ciau > > Ciao > > Il 26 agosto 2011 00:10, Antonio Quartulli ha scritto: > > On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: > >> Ciao raga, come va? > >> ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in > >> merito. > >> Ho realizzato un piccolo script che passatogli un file che contiene > >> istruzioni uci le applica. Una sorta di meccanismo per automatizzare > >> la configurazione di alcuni nodi tramite wget ad un url. Il tutto > >> funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente > >> per mantenere un minimo di sicurezza. Più che altro vorrei sapere se > >> quando faccio una wget passando il mac del dispositivo in post ad una > >> pagina ssl è possibile vedere appunto il mac che ho inviato? > > > > Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo > > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è > > il > > contenuto che invece viene criptato. Per questo motivo potresti passare il > > MAC > > in POST invece che in GET. A questo punto SSL renderà invisibile tale > > valore. > > > > Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente > > il > > certificato SSL del server sui vari nodi, un eventuale attaccante che > > vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non > > riuscirebbe nel suo intento. > > > > > > p.s. sia wget che curl hanno opzioni per passare le variabili in post! > > ___ > > Wireless mailing list > > Wireless@ml.ninux.org > > http://ml.ninux.org/mailman/listinfo/wireless > > > > > > -- > Filippo Sallemi > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Ciao, non sono esperto in configurazioni ma so per certo che le informazioni scambiate in SSL sono cifrate quindi anche se riesce ad intercettare qualcosa non può riuscire a decifrare... in tempi utili :-). Il 26/08/2011 0.03, Filippo Sallemi ha scritto: > Ciao raga, come va? > ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. > Ho realizzato un piccolo script che passatogli un file che contiene > istruzioni uci le applica. Una sorta di meccanismo per automatizzare > la configurazione di alcuni nodi tramite wget ad un url. Il tutto > funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente > per mantenere un minimo di sicurezza. Più che altro vorrei sapere se > quando faccio una wget passando il mac del dispositivo in post ad una > pagina ssl è possibile vedere appunto il mac che ho inviato? > Cioè non vorrei che qualche pirla con wireshark legga il mac e riesca > a risalire alla configurazione del nodo. > > Scusate per la domanda sciocca e se avete suggerimenti su come rendere > la cose robusta ma allo stesso tempo semplice o se sto sbagliando > qualcosa. > > Ciao e grazi > ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Grazie Antonio, sei stato chiarissimo e se ho capito bene tu consigli inoltre di mettere il certificato del server su ogni nodo in modo da rendere il più ermetico possibile il tutto. E' corretto? Ciao Il 26 agosto 2011 00:10, Antonio Quartulli ha scritto: > On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: >> Ciao raga, come va? >> ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in >> merito. >> Ho realizzato un piccolo script che passatogli un file che contiene >> istruzioni uci le applica. Una sorta di meccanismo per automatizzare >> la configurazione di alcuni nodi tramite wget ad un url. Il tutto >> funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente >> per mantenere un minimo di sicurezza. Più che altro vorrei sapere se >> quando faccio una wget passando il mac del dispositivo in post ad una >> pagina ssl è possibile vedere appunto il mac che ho inviato? > > Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il > contenuto che invece viene criptato. Per questo motivo potresti passare il MAC > in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. > > Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il > certificato SSL del server sui vari nodi, un eventuale attaccante che > vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non > riuscirebbe nel suo intento. > > > p.s. sia wget che curl hanno opzioni per passare le variabili in post! > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: > Ciao raga, come va? > ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. > Ho realizzato un piccolo script che passatogli un file che contiene > istruzioni uci le applica. Una sorta di meccanismo per automatizzare > la configurazione di alcuni nodi tramite wget ad un url. Il tutto > funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente > per mantenere un minimo di sicurezza. Più che altro vorrei sapere se > quando faccio una wget passando il mac del dispositivo in post ad una > pagina ssl è possibile vedere appunto il mac che ho inviato? Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il certificato SSL del server sui vari nodi, un eventuale attaccante che vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non riuscirebbe nel suo intento. p.s. sia wget che curl hanno opzioni per passare le variabili in post! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
[Ninux-Wireless] Coniglio
Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Cioè non vorrei che qualche pirla con wireshark legga il mac e riesca a risalire alla configurazione del nodo. Scusate per la domanda sciocca e se avete suggerimenti su come rendere la cose robusta ma allo stesso tempo semplice o se sto sbagliando qualcosa. Ciao e grazi -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless